[C++] - تخطي بسيط ل Sandboxie و ال Debuggers عبر جلب ال ParentProcess

[4w1il]

السَلام عَليكم ,

اليَوم قمت بكتابة فنكشن بسيط لمعرفة هل التطبيق قيد التنقيح أو تحت نوع من أنواع ال Debuggers ,

حيث يقوم بجلب ال ParentProcess و مقارنته مع ال explorer.exe , لان هذا الأخير هو المسؤول عن تشغيل التطبيقات و النوافذ أن كان تعريفي صحيحا ,

عند عدم نجاح المقارنة يعني أن التطبيق تحت التنقيح ,

كما أن دالة IsDebuggerPresent كما رأيت لا تشتغل مع مثل هاته المنقحات .

فيديو بَسيط ->

الفنكشن ->

int DSIB(){
    char Sys[MAX_PATH];
    GetSystemDirectoryA(Sys, MAX_PATH);
    string Syss = Sys;
    Syss.replace(11, 8, "explorer.exe");
    char Path[MAX_PATH];
    PROCESSENTRY32 PO;
    PO.dwSize = sizeof(PO);
    HANDLE Cr = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL);
    if (Process32First(Cr,&PO)){
        do{
            if (PO.th32ProcessID == GetCurrentProcessId()){
                HANDLE OP = OpenProcess(PROCESS_ALL_ACCESS,FALSE,PO.th32ParentProcessID);
                GetModuleFileNameEx(OP, NULL, Path, MAX_PATH);
                if (strcmp(Syss.c_str(),Path) == 0){
                    return 0;
                }
                else
                {
                    return 1;
                }
            }
        } while (Process32Next(Cr, &PO));
    }
    return 2;
}

يجب تضمين المكتبات :
#include <windows.h>
و
#include <TlHelp32.h>


أنتهى .

 

[NewBinary]

بارك الله فيك

 

[Linus Torvalds]

الفكرة بسيطه ومش عمليه غالبا ما بيخرج خطاء
ERROR_ACCESS_DENIED
على نواه64
عملية مقارنه ل id explorer
مع اخذ snpshot
صلاحيات PROCESS_ALL_ACCESS
لل explorer اي خطاء بيحصل حتدمر النظام

غالبا المتبدائين همه الي بياخدو PROCESS_ALL_ACCESS
لازم تحدد انت عايز ايه بالظبط

 

[yosef elhacker]

الفكرة صحيحة بس انت فاهمها غلط وموجودة في كتاب من موقع ويكيليكس
الفكرة انك بتجيب id بروسس البرنامج نفسه مش explorer.exe وبعدها بتبحث في جميع العمليات حتي تجد نفس id البروسس ودا معناه انك وصلت لبروسس البرنامج
فبتجيب اسم البروسس ولو هو نفس اسم البرنامج يبقي البرنامج ليس تحت التنقيح
ملحوظة : يلزم عدم تغيير اسم البرنامج وإلا ستفشل الطريقة ولن يشتغل البرنامج يعني لو تم تغيير اسم الكلاينت فلن يعمل
وشيء أخير : أظن الطريقة صارت مكشوفة وكذلك معظم الطرق الموجودة في الكتاب بس انت مطبقها غلط وكاتب الكود غلط فطبعا الدالة مش هترجع بصفر أبدا

 

[blind hack]

هل من مراجع لتعلم API في السي بلس بلس ؟

 

[Linus Torvalds]

إقتباس من : yosef elhacker

الفكرة صحيحة بس انت فاهمها غلط وموجودة في كتاب من موقع ويكيليكس
الفكرة انك بتجيب id بروسس البرنامج نفسه مش explorer.exe وبعدها بتبحث في جميع العمليات حتي تجد نفس id البروسس ودا معناه انك وصلت لبروسس البرنامج
فبتجيب اسم البروسس ولو هو نفس اسم البرنامج يبقي البرنامج ليس تحت التنقيح
ملحوظة : يلزم عدم تغيير اسم البرنامج وإلا ستفشل الطريقة ولن يشتغل البرنامج يعني لو تم تغيير اسم الكلاينت فلن يعمل
وشيء أخير : أظن الطريقة صارت مكشوفة وكذلك معظم الطرق الموجودة في الكتاب بس انت مطبقها غلط وكاتب الكود غلط فطبعا الدالة مش هترجع بصفر أبدا

في الحقيقه اغلب فنكشنات ال C++ في المنتدى مأخوذة من كتب وقنوات اجنبيه
زي ZEROMEMORY
وبينقلوها بشكل او بتاني بشكل عربي
بس بمعنى مختلف

 

[yosef elhacker]

إقتباس من : Linus Torvalds

في الحقيقه اغلب فنكشنات ال C++ في المنتدى مأخوذة من كتب وقنوات اجنبيه
زي ZEROMEMORY
وبينقلوها بشكل او بتاني بشكل عربي
بس بمعنى مختلف

مش مشكلة خالص لأن الإنسان مش هيعلم نفسه لوحده الحاجات دي ، انا بردو بفضل الله لقيت معظم الأكواد اللي معايا من مواقع إنجليزية و خاصة stackoverflow أما قناة zeromemory فزي الزفت في مشاركة الأكواد لا تضع ملف السورس أسفل الفيديو

 

[h!dd3nSniper]

يعطيك العافية على الطريقة
لتخطي الساندبوكس هناك اكثر من طريقة اولها استخدام دالة IsDebuggerPresent (يمكن تخطيها بالمنقح)
وبخصوص الكود: يمكن اخذ بروسس id اكسبلورر من خلال دالة getshellwindow()
وعمل مقارنة مع البروسس id الاب لبرنامجك (NtQueryInformationProcess) واذا الid غير متساوي يعني برنامجك في بيئة الساندبوكس او التحليل.
(هناك طريقة اكثر فعالية على مااظن مثل عمل تشيك اذا برنامجك يعمل كjob object او لا QueryInformationJobObject)
هذا والله أعلم

 

[4w1il]

إقتباس من : yosef elhacker

الفكرة صحيحة بس انت فاهمها غلط وموجودة في كتاب من موقع ويكيليكس
الفكرة انك بتجيب id بروسس البرنامج نفسه مش explorer.exe وبعدها بتبحث في جميع العمليات حتي تجد نفس id البروسس ودا معناه انك وصلت لبروسس البرنامج
فبتجيب اسم البروسس ولو هو نفس اسم البرنامج يبقي البرنامج ليس تحت التنقيح
ملحوظة : يلزم عدم تغيير اسم البرنامج وإلا ستفشل الطريقة ولن يشتغل البرنامج يعني لو تم تغيير اسم الكلاينت فلن يعمل
وشيء أخير : أظن الطريقة صارت مكشوفة وكذلك معظم الطرق الموجودة في الكتاب بس انت مطبقها غلط وكاتب الكود غلط فطبعا الدالة مش هترجع بصفر أبدا

ههههه , لا أعلم حقيقة ما الكتاب الذي تتكلم عنه و ما علاقة ويكيليكس بهذا الأمر ,
الكود كنت كتبته منذ شهر تقريبا , حيث كنت أبحث حول طرق تخطي ال Debuggers , فلاحظت أنه عند التنقيح يقوم المنقح بتشغيل العملية على شكل Child Process ,
فقمت بأستغلال الأمر ,
لا كتاب و لا هم يحزنون

 

[4w1il]

إقتباس من : Linus Torvalds

الفكرة بسيطه ومش عمليه غالبا ما بيخرج خطاء
ERROR_ACCESS_DENIED
على نواه64
عملية مقارنه ل id explorer
مع اخذ snpshot
صلاحيات PROCESS_ALL_ACCESS
لل explorer اي خطاء بيحصل حتدمر النظام

غالبا المتبدائين همه الي بياخدو PROCESS_ALL_ACCESS
لازم تحدد انت عايز ايه بالظبط

واضح في العنوان أن الطريقة بسيطة .
ههههه تدمر النظام في أي نقطة بالضبط , المقارنة تتثم على ال Parent Process وليس ال explorer بالضبط ,
حول ال PROCESS_ALL_ACCESS هي أمر لم أنتبه له و لم أعره أهتماما صراحة , فالغرض الوصول للبروسيس لا غير , ربما أهتم لهذا الأمر في أكوادي القادمة ,
فالأحترافية مطلوبة طَبعا .
كما أنني صراحة مبتدأ في الحقيقة

 

[4w1il]

إقتباس من : Linus Torvalds

في الحقيقه اغلب فنكشنات ال C++ في المنتدى مأخوذة من كتب وقنوات اجنبيه
زي ZEROMEMORY
وبينقلوها بشكل او بتاني بشكل عربي
بس بمعنى مختلف

عندما يكون للغرض طريقة واحدة لتنفيذه فستستغل تلك الطريقة , فلا حل أخر لك , ليس بالضرورة أن يكون منقولا بالحرف , ربما سيكون لك طريقة خاصة كتابة الكود و لكن الطريقة واحدة .
طبعا أثناء بحثي و تعمقي في أمور ال Malwares وجدت قناة Zeromemory , ما لاحظته حقيقة أنه أيضا يقوم بنقل الأكواد , غير أنه نقل 100 % من الأكواد هه ,
لا يقوم بشرح طريقة عمل الكود بالأساس و لا شرح الأمور الأساسية في الكود .

 

[4w1il]

إقتباس من : h!dd3nSniper

يعطيك العافية على الطريقة
لتخطي الساندبوكس هناك اكثر من طريقة اولها استخدام دالة IsDebuggerPresent (يمكن تخطيها بالمنقح)
وبخصوص الكود: يمكن اخذ بروسس id اكسبلورر من خلال دالة getshellwindow()
وعمل مقارنة مع البروسس id الاب لبرنامجك (NtQueryInformationProcess) واذا الid غير متساوي يعني برنامجك في بيئة الساندبوكس او التحليل.
(هناك طريقة اكثر فعالية على مااظن مثل عمل تشيك اذا برنامجك يعمل كjob object او لا QueryInformationJobObject)
هذا والله أعلم

ههه دائما ما تضيف الله أعلم في الأخير , مع العلم أنك ما شاء الله تعلم ههه ,
جرب دالة IsDebuggerPresent على الساندبوكسي و لم يشتغل الأمر ,
سأرى هذه الدوال أيضا , سأبحث في الأمر أكثر .

 

[yosef elhacker]

إقتباس من : Unknowns Hacker

ههههه , لا أعلم حقيقة ما الكتاب الذي تتكلم عنه و ما علاقة ويكيليكس بهذا الأمر ,
الكود كنت كتبته منذ شهر تقريبا , حيث كنت أبحث حول طرق تخطي ال Debuggers , فلاحظت أنه عند التنقيح يقوم المنقح بتشغيل العملية على شكل Child Process ,
فقمت بأستغلال الأمر ,
لا كتاب و لا هم يحزنون

لم أقل أنك أخذته من الكتاب وإلا لكان الكود صحيحا ولكن قصدي أنه موجود في الكتاب الذي قرأته لذلك عرفت أن هذا الكود خطأ لأنك يجب أن لا تقارن بعملية explorer.exe ولكن بنفس عملية البرنامج والفكرة أنه الانتي فيرس يشغل الملف باسم آخر في sandbox فلو انت تعرف اسم الملف بتاعك بتقارن الاسم باسم بروسس الملف لو الاتنين زي بعض يبقي البرنامج شغال عادي ولو فيه اختلاف يبقى البرنامج تحت الساندبوكس
الطريقة كانت بتجيب 0/55 في فايروس توتال بس مش عارف شغالة لسة ولا لا
لأن كان فيه كام طريقة بسيطة بردو فيه بس صارت مكشوفة

 

[4w1il]

إقتباس من : yosef elhacker

لم أقل أنك أخذته من الكتاب وإلا لكان الكود صحيحا ولكن قصدي أنه موجود في الكتاب الذي قرأته لذلك عرفت أن هذا الكود خطأ لأنك يجب أن لا تقارن بعملية explorer.exe ولكن بنفس عملية البرنامج والفكرة أنه الانتي فيرس يشغل الملف باسم آخر في sandbox فلو انت تعرف اسم الملف بتاعك بتقارن الاسم باسم بروسس الملف لو الاتنين زي بعض يبقي البرنامج شغال عادي ولو فيه اختلاف يبقى البرنامج تحت الساندبوكس
الطريقة كانت بتجيب 0/55 في فايروس توتال بس مش عارف شغالة لسة ولا لا
لأن كان فيه كام طريقة بسيطة بردو فيه بس صارت مكشوفة

الكتاب الذي قرأته أنت ? هل يمكن مشاركتنا هذا الكتاب الذي قرأته أنت , أتمنى أن أستفيد كما أستفدت أنت مما قرأته أنت

 

[ᵀᴿᴼᴶᴬᴺ ᴴᴼᴿˁᴱ]

إقتباس من : Linus Torvalds

الفكرة بسيطه ومش عمليه غالبا ما بيخرج خطاء
ERROR_ACCESS_DENIED
على نواه64
عملية مقارنه ل id explorer
مع اخذ snpshot
صلاحيات PROCESS_ALL_ACCESS
لل explorer اي خطاء بيحصل حتدمر النظام

غالبا المتبدائين همه الي بياخدو PROCESS_ALL_ACCESS
لازم تحدد انت عايز ايه بالظبط

Change registry path to explorer.exe

return %0%

How to replace Explorer.exe in Windows? (2015 Update)

 

[blind hack]

إقتباس من : blind hack

هل من مراجع لتعلم API في السي بلس بلس ؟

لو احد يعرف